Technical 技术专栏 on Happy的blog

实用网络运维笔记：利用 ACL 封堵高危端口，构建防勒索病毒的第一道防线

Wed, 08 Apr 2026 18:43:14 +0800

在日常的网络运维和安全加固中，我们经常会面临来自内外部的自动化扫描和恶意软件威胁。尤其是近年来屡禁不止的勒索病毒（如 WannaCry）和各类蠕虫病毒，大多依赖 Windows 系统的几个高危端口进行横向传播。

今天分享一段非常经典且实用的高危端口封堵 ACL 配置，并详细拆解其背后的原理和部署排坑指南。

 防勒索/高危端口封堵 ACL
ip access-list extended ACL_WAN_IN_DENY_HIGH_RISK
  #1. 阻断 RPC 协议族 (防冲击波等蠕虫及内网探测)
 10 deny tcp any any eq 135 log
 20 deny udp any any eq 135
 30 deny tcp any any eq 593
  #2. 阻断 NetBIOS 协议族 (防信息枚举及中间人攻击)
 40 deny udp any any eq 137
 50 deny udp any any eq 138
 60 deny tcp any any eq 139
 70 deny udp any any eq 139
  #3. 阻断 SMB 服务 (防 WannaCry/永恒之蓝等勒索病毒横向移动)
 80 deny tcp any any eq 445 log
 90 deny udp any any eq 445
  #4. 阻断 RDP 远程桌面 (防针对 3389 的暴力破解)
 100 deny tcp any any eq 3389 log
 110 deny udp any any eq 3389
  #5. 放行其余正常业务流量
 200 permit ip any any

(注：在 deny 语句后增加 log 关键字，可以将触发该规则的源 IP 记录到 Syslog 服务器，便于溯源真正的感染源或攻击者。部分设备不支持 )

踩坑实录：用 Windows Hello 实现完美免密 SSH 登录

Fri, 03 Apr 2026 21:29:58 +0800

前言

因为新买的笔记本人脸识别很准很方便,就想折腾一下看能不能用Windowshello来免密登录ssh,没想到居然可以!记录一下这个配置小成就。

我的核心诉求其实很明确，就三点：

免密：用 Windows Hello（指纹/人脸）直接 SSH 登录路由。
所有服务器都用一套密钥：方便管理。
安全：私钥丢了或者被盗了别人也用不了。

本以为是个简单的 ssh-agent 或 ssh-keygen 命令就能解决的事，没想到硬生生踩到了底层的 TPM 硬件兼容性大坑。特此记录，供遇到类似问题的朋友参考。

❌ 踩坑记录：那些看似可行实则行不通的方案

坑一：使用原生 ssh-agent 服务（权限不够）

一开始想着复用现有的 id_rsa，交给 Windows 的 ssh-agent 服务托管。结果运行 Get-Service ssh-agent | Set-Service -StartupType Automatic 直接报错 “拒绝访问”。原因：普通用户无权修改系统全局服务的启动类型，即使勉强用伪装进程拉起，体验也不够优雅。

坑二：尝试 ed25519-sk 与“Passkey 冲突”

既然服务走不通，那就走 FIDO2 硬件安全密钥。执行了 ssh-keygen -t ed25519-sk。结果系统提示 Overwrite (y/n)?，同时我非常担心这会向 TPM 的“驻留密钥（Resident Key）”槽位写入数据，把我辛辛苦苦攒的网站 Passkey 给顶掉。吓得我赶紧 Ctrl+C 止损。

坑三：Windows Hello 消失,让我用物理安全密钥

后来弄清楚了，只要不加 -O resident 参数，默认就是“非驻留”模式，不占用 TPM 空间。于是放心大胆地再次执行，结果弹出的 Windows 安全中心窗口里，根本没有“Windows Hello（此设备）”的选项，只能选手机或 USB 安全密钥！

LAN

Wed, 04 Feb 2026 00:09:15 +0800

7.1 把 10G EPON 改成 XGPON，修改参数 obj.id = “0x00000001” ; obj.value = “5”; obj.id = “0x0000001d” ; obj.value = “5”; obj.id = “0x00000059” ; obj.value = “5”; 7.1 还原 10G EPON，修改参数 obj.id = “0x00000001” ; obj.value = “6”; obj.id = “0x0000001d” ; obj.value = “5”; obj.id = “0x00000059” ; obj.value = “6”;

7.2 将光猫主 LAN 口的 MAC 地址改成老光猫的 MAC 地址(部分地区需要，如果设备注册无障碍，则跳过)：注：改完后尝试注册设备成功的话，跳过设备标识号和 SN 码的修改 obj.id = “0x0000000a” ; obj.value = “8C:81:72:89:8A:B2”; obj.id = “0x00000025” ; obj.value = “8C:81:72:89:8A:B2”;

重装后的操作流水线

Fri, 30 Jan 2026 22:04:20 +0800

只装 Routing ：通过 PowerShell 执行 Install-WindowsFeature Routing -IncludeManagementTools。
NAT 隔离 ：在 RRAS 控制台中，将外网网卡设为“公用接口”并开启 NAT，内网网卡设为“专用接口”。

Scoop 自动化

运行 Restore-Scoop.ps1 脚本：

配置文件持久化 ：因为 Mihomo (Clash Party) 的配置文件通常在 AppData 或程序目录，建议将其配置链接到 D 盘，确保重装后代理逻辑直接可用。

Join_AD

Thu, 29 Jan 2026 20:59:14 +0800

Tips

Mon, 19 Jan 2026 01:09:32 +0800

powershell相关:

Windows hello保护ssh私钥

ssh-keygen -t ecdsa-sk -f $env:USERPROFILE\.ssh\happy_hello

code %USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

历史记录 Windows 双系统主板时差

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f

Hyper-V开启嵌套虚拟化

Get-Vm
Set-VMProcessor -ExposeVirtualizationExtensions $true -VMName name

hyper-v相关:

vm管理工具

winget install –id=VMPlex.VMPlex -e -s winget

查看vm虚拟机

get-netadapter | Where-Object {$_.InterfaceDescription -match "Hyper-V"} | Select-Object Name, InterfaceAlias

查询被占用的文件进程

winget install Microsoft.Sysinternals.Handle

handle "C:\path\to\your\file.txt"  # 完整路径
handle test.txt                    # 仅文件名（会搜索所有位置）
handle D:\docs                     # 搜索整个目录下的文件占用

Process Explorer

安装：

Winget：winget install Microsoft.Sysinternals.ProcessExplorer

docker 避免每sudo

 # 1. 如果 docker 用户组不存在，先创建它（通常安装 docker 时已自动创建）
 sudo groupadd docker
 # 2. 将当前用户（也就是你终端登录的用户）加入 docker 组
 sudo usermod -aG docker $USER
 # 3. 刷新用户组权限，使其立即生效（不用退出重新登录）
 newgrp docker

利用Hyper-v上跑openWRT实现本地网络虚拟化实现Windows有线+无线网络负载+梯子+hyperv虚拟机网络管理

Sat, 17 Jan 2026 11:15:28 +0800

前言:

Windows的hyperv只提供虚拟交换机创建,网络NAT和DHCP都是交给插件来实现,配置起来极为麻烦和不便利,因此琢磨着创建一个简单的虚拟网络,顺便将负载和翻墙集成进去。

示意拓扑图:

参考教学

Open-WRT镜像下载(选一个):

下载OpenWrt

或者下载ImmortalWrt(一个面向中国大陆用户的开源OpenWrt变体。配置好了中文和clash源,强烈推荐!)

Windows使用StarwindConverter虚拟机磁盘镜像互转

或使用qemu-img(加入环境变量)

#cd到img的目录下
qemu-img convert input.img -O vhdx -o subformat=dynamic output.vhdx

创建一代虚拟机,1核,800M,2G,3个网络适配器,磁盘选择转换后的vhdx

(此处省略)

创建两个虚拟交换机,外部,分别绑定两个出口网卡,我这里是wifi 和2.5G,把’允许…‘关了，让路由器独占

再创建一个内部交换机,作为主机流量入口。

分配mac,地址随意但不能重复,最好为01,02,03,这样方便记忆

内容（记得先备份原文件）：

改密码:

passwd

先备份

mv /etc/config/network{,.bak}

先配置管理地址:

vi /etc/config/network

config interface 'lan'
        option device 'eth2'
        option proto 'static'
        option ipaddr '192.168.20.1'
        option netmask '255.255.255.0'

冒号q回车退出

运行这条命令让配置生效

/etc/init.d/uhttpd restart

物理机上配置网络:

win+r输入ncpa.cpl打开网络适配器如下配置

用ssh连接Openwrt:

vi /etc/config/network

将下面的配置粘贴进去

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdbe:cd76:75cf::/48'
        option packet_steering '1'

config interface 'lan'
        option device 'eth2'
        option proto 'static'
        option ipaddr '192.168.20.1'
        option netmask '255.255.255.0'
        option ip6assign '60'


config interface 'WAN2'
        option proto 'dhcp'
        option device 'eth1'

config interface 'WAN'
        option proto 'dhcp'
        option device 'eth0'

使配置生效:

笔记本上在Hyper V平台将虚拟机利用Easy GPU PV实现核显半虚拟化

Thu, 15 Jan 2026 19:34:37 +0800

Easy-GPU-PV是一个显卡直通和虚拟机创建脚本。

开启hyperv功能不再赘述。记得打开intel-vt-d

下载下来，解压文件,或者用git克隆下来，进入目录,复制目录地址,

git clone https://github.com/jamesstringer90/Easy-GPU-PV.git

再用管理员权限运行powershell-ISE

先运行pre-check,将输出的显卡名字复制

因为是在笔记本上跑的,所以将判断的结果改一下就行,或者直接把Get-DesktopPC这个函数注释掉

自定义配置,直接改变量框出来的必须改

配置文件和hyperv没问题基本上脚本就一路到底success。

等一段时间自动安装完了会自动进系统，检查一下虚拟机里有没有显卡

优化性能，可选

开启SMT

Set-VMProcessor -VMName Win11Preveiw -HwThreadCountPerCore 0

设置cpu-core调度程序类型为ROOT

bcdedit /set hypervisorschedulertype Root

在wsl中优雅的使用Archlinux

Thu, 15 Jan 2026 05:05:26 +0800

官方文档

硬件加速渲染

pacman -S mesa vulkan-dzn vulkan-icd-loader

# ~/.bashrc
export GALLIUM_DRIVER=d3d12
export LIBVA_DRIVER_NAME=d3d12

若 openGL 依然在英特尔 GPU 上使用 llvmpipe 软件渲染，则需要为 libedit 创建符号链接：

# ln -s /usr/lib/libedit.so /usr/lib/libedit.so.2

从 Windows 桥接 SSH 代理服务

在 WSL 内使用 Windows SSH 代理。

安装yay

sudo pacman -S git base-devel
git clone https://aur.archlinux.org/yay-bin.git
cd yay-bin
cd yay
makepkg -si

yay wsl2-ssh-agent
eval "$(/usr/sbin/wsl2-ssh-agent)"

使用 Windows Hello 进行 PAM 认证

踩坑后让AI生的手动安装指南，成功力！

yay wsl-hello-sudo-bin

欲使用 Windows Hello 进行认证，将 auth sufficient pam_wsl_hello.so 行添加到 /etc/pam.d 中相应组件的配置文件，例如 Sudo：

Arch Linux (WSL) 手动部署 WSL Hello Sudo 完整指南

Thu, 15 Jan 2026 05:01:31 +0800

指南说明

1.1 适用场景

本指南适用于在 WSL 环境下的 Arch Linux 系统，手动完成 WSL-Hello-sudo 的部署，实现通过 Windows Hello（人脸/指纹/PIN）验证替代 sudo 密码输入的功能。

1.2 核心适配点（与 Ubuntu/Debian 差异）

PAM 模块目录固定为 /lib/security（Ubuntu/Debian 为 /lib/x86_64-linux-gnu/security）；
无 pam-auth-update 工具，需手动编辑 PAM 配置文件；
依赖包通过 pacman 安装，而非 apt；
默认可能未启用 WSL Interop 功能，需手动配置以执行 Windows 可执行文件（.exe）。

1.3 前置环境要求

WSL 版本：推荐 WSL 2（WSL 1 对 Interop 支持较差，易出现执行 .exe 报错）；
Windows 环境：已启用 Windows Hello（设置 > 账户 > 登录选项中配置人脸/指纹/PIN）；
Arch 权限：拥有普通用户 sudo 权限（禁止直接使用 root 用户操作）。

前置准备

2.1 确认 WSL 版本

在 Windows 终端（CMD/PowerShell）中执行以下命令，确认 Arch 对应的 WSL 版本为 2：

将物理机使用VMware启动，以Arch为例并重新安装GRUB启动项

Mon, 12 Jan 2026 23:28:24 +0800

前言

很久很久以前(其实也没多久)在笔记本上装了个arch,玩够了就没管了,最近突然想拿里面的配置文件出来给虚拟机用,但是在Windows上用ext文件驱动又太麻烦了,懒得搞,于是想用虚拟机启动这个系统,直接ssh登进去取。随手一记。

查看系统所在磁盘序号与分区位置

在diskgenues里看到arch所处的盘位为hd1-part8

在操作系统所在的分区前新建一个1G的分区，

然后把引导分区（一般为磁盘第一个分区，名字是ESP，FAT32的文件系统）克隆过来

在VMware中创建虚拟机

使用管理员权限打开VMware-workstation

新建一个虚拟机，选自定义

稍后安装系统

其他Linux

使用物理磁盘

选择第一步查看到的磁盘序号，我这里是磁盘1，选择使用单个分区

将操作系统和引导盘所在的分区选中

如图操作

选一个PE镜像

开机,进入Linux-PE中

lsblk -f
# 挂载根分区到 /mnt
mount /dev/sda9 /mnt

# 挂载 EFI 引导分区到 /mnt/boot

mount /dev/sda8 /mnt/boot
# 进入系统 chroot 环境
arch-chroot /mnt

#安装Linux内核
pacman -S linux
# 安装 GRUB 到 EFI 分区
grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB

# 生成新的 GRUB 配置文件
grub-mkconfig -o /boot/grub/grub.cfg

# 退出 chroot 环境
exit

# 卸载挂载的分区
umount /mnt/boot
umount /mnt

# 重启系统
reboot

完成

跨城市Windows-ESXi内网P2P IPsec隧道搭建指南

Sun, 11 Jan 2026 23:17:03 +0800

AI生成

适用场景：跨城市双内网环境（无公网IP），ESXi网段172.31.88.0/24，Windows网段192.168.1.0/24，通过公网域名happy.com（Ubuntu服务器）实现P2P IPsec加密互通与内网共享

前置约定：所有操作涉及的用户名/密码统一为 happy/Huawei@123，IPsec预置共享密钥为 Huawei123；操作前确保公网Ubuntu服务器可正常访问，ESXi主机已开启虚拟化功能，Windows主机具备管理员权限。

一、操作前核心网络技术原理摘要

本次搭建的核心是“P2P NAT穿透+IPsec NAT-T加密+隧道模式网段转发”，核心逻辑如下，理解后可更精准排查操作问题：

1. 核心痛点与解决方案

跨城市内网无法直连的核心是NAT地址隐藏，ESXi原生不支持通用IPsec，因此通过“公网STUN/TURN辅助穿透+ESXi侧虚拟化VPN网关+IPsec加密”解决：

公网Ubuntu（happy.com）：部署coturn服务，提供STUN（NAT映射地址发现）和TURN（P2P失败中继兜底）功能；
ESXi侧：创建Ubuntu虚拟机作为VPN网关，部署StrongSwan（IPsec服务端），替代ESXi主机实现IPsec协商与流量转发；
Windows侧：部署StrongSwan客户端，通过ICE框架与ESXi网关完成P2P打洞，建立IPsec隧道。

2. 关键技术核心

IPsec NAT-T：将无端口的ESP加密包封装到UDP 4500端口，解决IPsec穿越NAT的核心问题，是跨内网通信的关键；
IKEv2协议：通过4次握手快速建立安全关联（SA），协商加密算法（AES-256）和密钥，支持自动重连，适配动态网络环境；
隧道模式：用新IP头封装原始内网数据包，实现172.31.88.0/24与192.168.1.0/24网段的透明互通，而非仅单点通信。

3. 数据传输路径

正常场景（P2P打洞成功）：Windows业务流量 → ESP加密 → UDP 4500封装 → 本地NAT映射 → 公网P2P直连 → ESXi侧NAT解映射 → 网关VM解封装解密 → ESXi内网；兜底场景（P2P失败）：流量经公网happy.com的TURN服务中继，全程密文传输，仅增加少量延迟。

二、操作步骤全流程

模块1：公网Ubuntu服务器（happy.com）配置（STUN/TURN服务部署）

作用：为双内网节点提供NAT穿透辅助，P2P失败时作为流量中继，核心部署coturn服务。

步骤1.1 登录公网Ubuntu服务器

通过SSH登录（若本地可直连则直接操作）：


ssh happy@happy.com  # 输入密码：Huawei@123

步骤1.2 安装coturn服务

更新源并安装，Ubuntu默认源已包含coturn：


sudo apt update && sudo apt install coturn -y

步骤1.3 配置coturn服务（核心）

编辑配置文件 /etc/turnserver.conf，替换为以下内容（适配happy.com域名和统一账号）：


# 基础配置
listening-port=3478  # STUN/TURN默认端口（UDP/TCP）
tls-listening-port=5349  # 可选，TLS加密端口，本次暂不启用
external-ip=公网服务器实际IP  # 替换为happy.com对应的公网IP（如47.xxx.xxx.3）
realm=happy.com  # 域名标识，与后续IPsec协商一致
server-name=happy.com

# 认证配置（统一账号密码）
user=happy:Huawei@123  # 格式：用户名:密码
lt-cred-mech  # 启用用户名密码认证

# 中继配置
relay-port-min=49152  # 中继端口范围
relay-port-max=65535
min-port=49152
max-port=65535

# 其他优化
fingerprint  # 启用指纹验证
log-file=/var/log/turnserver.log  # 日志路径，便于排查问题
verbose  # 详细日志模式

步骤1.4 启动并验证coturn服务


# 启动服务并设置开机自启
sudo systemctl start coturn
sudo systemctl enable coturn

# 验证服务状态
sudo systemctl status coturn  # 显示active(running)即为正常

# 验证端口监听
sudo netstat -tulnp | grep turnserver  # 应看到3478端口监听

模块2：ESXi侧VPN网关VM配置（IPsec服务端部署）

核心逻辑：ESXi主机不直接部署IPsec，通过创建Ubuntu虚拟机作为网关，承载StrongSwan服务端功能，网关IP规划为172.31.88.10/24（网关为172.31.88.1）。